IMPACTO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS CONFEDERACIÓN CANARIA DE EMPRESARIOS Las Palmas de Gran Canaria 6 de mayo de 2018

PLAN ESTRATÉGICO 2015-2019 Difundir y proteger los derechos de los ciudadanos, promoviendo entre la ciudadanía y las organizaciones el valor de la privacidad. Velar por el cumplimiento de la legislación sobre protección de datos, promoviendo medidas preventivas y ejerciendo la potestad sancionadora. Impulsar una labor proactiva que permita detectar el impacto que los nuevos desarrollos tecnológicos pueden tener en la privacidad de los ciudadanos, promoviendo una concepción de la privacidad como activo de las organizaciones públicas y privadas y como elemento distintivo de la competitividad en el mercado.

PLAN ESTRATÉGICO 2015-2019

DESTINATARIOS

¿QUÉ ES UN DATO PERSONAL? toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona ¿CUÁNDO UNA PERSONA ES IDENTIFICABLE? Atención a factores objetivos, (costes y tiempo necesarios para la identificación, tecnología disponible o avances tecnológicos).

¿QUÉ ES UN TRATAMIENTO DE DATOS ¿QUÉ ES UN TRATAMIENTO DE DATOS? Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción ¿QUIÉN ES EL RESPONSABLE DEL TRATAMIENTO? Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o conjuntamente con otros determine los fines y los medios del tratamiento ¿QUIÉN ES EL ENCARGADO DEL TRATAMIENTO? Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento

REGLAMENTO GENEREAL DE PROTECCIÓN DE DATOS El Reglamento 2016/679 sustituirá a la Directiva 95/46 Publicado 4 de mayo 2016 Entrada en vigor a los 20 días de publicación 2 años hasta inicio de aplicación. Aplicable el 25 de mayo de 2018 Reglamento implica una máxima armonización Aplicación directa, sin necesidad de trasposición Desplaza normas nacionales en materias que regula Regulación de aplicación o desarrollo sólo posible cuando se prevea expresamente

REGLAMENTO GENEREAL DE PROTECCIÓN DE DATOS PRINCIPALES CARACTERÍSTICAS Mayor control para los interesados de sus datos Nuevo modelo de cumplimiento basado en la responsabilidad proactiva Enfoque del riesgo Nuevo modelo de supervisión Mecanismos de cooperación para su aplicación uniforme

PROYECTO LOPD PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS (en tramitación parlamentaria) Incorporar al Dcho. Nacional previsiones interpretación RGPD, cuando sea necesario. Complemento del RGPD Regulación datos personas fallecidas Se fija la edad del menor Regula posibles habilitaciones legales para el tratamiento por obligación legal (Central de Riesgos del BE) Regula posibles tratamiento concretos, entre ellos, el de los Sistemas de denuncias internas, videovigilancia, solvencia,… Relación de entidades que requieren DPD y su configuración como figura para resolver conflictos en protección de datos El Régimen de la AEPD Procedimiento sancionador (inicio del procedimiento de ventanilla única) y sanciones

Ámbito territorial de aplicación Artículo 3 “1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión. 2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere un pago b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”

PRINCIPIOS Principios se mantienen similares a Directiva, con refuerzo en algunos matices Licitud, lealtad y transparencia Limitación de finalidad Minimización de datos Exactitud Limitación del plazo de conservación Integridad y confidencialidad Responsabilidad proactiva

PRINCIPIOS Principio de licitud, lealtad y transparencia La transparencia o información como nuevo principio Principio de limitación de finalidad Especialidades en el tratamiento para fines distintos (artículo 6.4) Principio de minimización Reemplaza “no excesivos” con “limitados a lo necesario” “Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios” Principio de exactitud (PLOPD) Facilitados por el propio afectado Facilitados por intermediarios legalmente previstos Recibidos como consecuencia del ejercicio del derecho a la portabilidad Principio de limitación del plazo de conservación Nuevas normas para el tratamiento con fines de archivo o fines estadísticos o de investigación científica histórica Principio de integridad y confidencialidad Seguridad y confidencialidad como principios y no como obligaciones Principio de responsabilidad proactiva

LEGITIMACIÓN Art. 6.1 a) consentimiento para el tratamiento de sus datos personales para uno o más fines específicos b) ejecución de un contrato en el que el interesado es parte o para la aplicación, a petición de éste, de medidas precontractuales c) cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento d) intereses vitales del interesado o de otra persona física

LEGITIMACIÓN e) cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los interés o los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales, en particular, cuando el interesado sea un niño. Ello no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones

CONSENTIMIENTO Libre, específico, informado e ”inequívoco”  A través de declaraciones o “claras acciones afirmativas” Salvaguardas en articulado y considerandos Situaciones de desequilibrio claro entre interesado y responsable Consentimiento conjunto necesario para varias operaciones Tratamientos vinculados a ejecución de contrato, incluida prestación de servicio, cuando tratamiento no es necesario para esa ejecución o prestación Consentimiento de menores con autorización  16 años, pudiendo EEMM reducir hasta 13 (PLOPD 13 años)

CONSENTIMIENTO Se considera que puede existir un acto afirmativo claro en supuestos como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal (Cdo. 32) También puede considerarse acto afirmativo marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento (Cdo. 32) Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos (Cdo. 32) No debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (Cdo 42) No debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento”(Cdo. 43)

CONSENTIMIENTO En caso de que se recabe el consentimiento para varias finalidades Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros) Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros) En ningún caso la falta de consentimiento podría implicar la denegación de un servicio si el tratamiento no es necesario para su prestación (art. 7.4) En todo caso, el responsable deberá probar que cuenta con el consentimiento y que ha sido prestado por el afectado a través de los medios que resulten pertinentes

CONSENTIMIENTO El RGPD no implica necesariamente una obligación de recabar un nuevo consentimiento si el que se hubiera obtenido antes de su aplicación fuese conforme a los requisitos que establece Siguen siendo válidos los consentimientos expresos y los consistentes en una manifestación o clara acción afirmativa El Cdo. 32 clarifica supuestos que pueden considerarse consentimiento (declaración, marcación de una casilla, selección de parámetros) En ningún caso hay aplicación retroactiva, dado que las normas del RGPD no se aplican a tratamientos anteriores al momento en que produce plenos efectos Cuando se preste el consentimiento para el tratamiento de datos con múltiples finalidades será preciso dar el consentimiento para todos ellos (Cdo. 32). En particular: Consentimientos específicos en el marco de un contrato Consentimientos específicos en el marco de declaraciones

CONSENTIMIENTO El consentimiento “tácito” o “por omisión” Estos consentimientos no resultan conformes al RGPD, por lo que no sería válido persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018 (Cdo 171 a sensu contrario). El período transitorio de adaptación de los consentimientos sería el actual, dado que el RGPD está en vigor pero no es plenamente aplicable. Los tratamientos basados en el “consentimiento tácito” deberán encontrar fundamento en otra causa de legitimación Mediante una nueva solicitud del consentimiento Mediante, en su caso, la aplicación de alguna otra causa de legitimación y, en particular, la ponderación del derecho y el interés legítimo del responsable El Cdo. 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, aunque deberá ponderarse ese interés con la posible intrusión en el derecho fundamental Para determinar si es posible aplicar esta regla habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única.

INTERÉS LEGÍTIMO RGPD: Especial referencia datos menores y AAPP no aplica Posibles: prevención fraude, marketing directo, flujos en grupo empresariales PLOPD: Datos de contacto de personas jurídicas necesarios para su localización profesional y para relacionarse con la persona jurídica Datos de empresarios individuales Solvencia Videovigilancia Exclusión publicitaria Denuncias internas …

INTERÉS LEGÍTIMO Algunas aclaraciones (considerandos 47 a 49) Aplicación del principio de expectativa razonable derivada de la relación del afectado con el responsable Existencia de una “relación pertinente o apropiada” (cliente, empleado, etc.) Transmisiones de datos dentro de Grupos empresariales para fines administrativos internos Por ejemplo, centralización de datos de clientes o empleados Transmisiones para garantizar la seguridad de las redes, por ejemplo a los CERT

Categorías especiales de datos Se incluyen datos genéticos y biométricos Se excluyen datos de infracciones y sanciones administrativas. Autorización por ley con garantías adicionales. (órganos competentes o terceros habilitados) Regla general: queda prohibido su tratamiento (igual que en la Directiva) Excepciones a la prohibición Consentimiento (PLOPD matiza casos en los que no es suficiente: ideología, afiliación, sindical, religión, orientación sexual, creencias, o étnico)

Categorías especiales de datos …/… Habilitación en el ámbito del derecho laboral y de seguridad o protección social Puede basarse en Convenio Colectivo Tratamiento para la protección de intereses vitales del afectado o un tercero Datos manifiestamente públicos Tratamiento necesario por razones de Interés público esencial según la Ley UE o Nacional siempre que sea proporcional a la finalidad perseguida Defensa y reclamaciones y Tribunales

Categorías especiales de datos …//… Medicina preventiva o laboral y evaluación de la capacidad laboral, diagnóstico médico o prestación sanitaria, gestión de los sistemas o servicios sanitarios. Exigencia de tratamiento llevado a cabo por profesional sujeto a deber de secreto o bajo su responsabilidad Razones de interés público en el ámbito de la salud pública, así como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios Archivo y fines de investigación histórica o científica o estadísticos en los términos del propio Reglamento

Derechos Catálogo tradicional con algunas novedades Información Acceso Rectificación Derecho al borrado y al olvido Limitación del tratamiento Portabilidad Oposición Previsiones sobre ejercicio de estos derechos Lenguaje claro e inteligible Obligación de “facilitar el ejercicio” Plazos de respuesta  1 mes Formas de ejercicio  Posible vía electrónica Gratuidad Uso de iconos para proporcionar información

El deber de informar/principio de transparencia en el Reglamento Se incrementa la información que habrá de facilitarse cuando los datos se recaban del afectado Identidad y los datos de contacto del responsable y, en su caso, de su representante Datos de contacto del delegado de protección de datos Fines y base jurídica del tratamiento Intereses legítimos del responsable o de un tercero Destinatarios o las categorías de destinatarios de los datos personales, en su caso Transferencias internacionales previstas

El deber de informar/principio de transparencia en el Reglamento Plazo de conservación Derechos de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad Posibilidad de revocación del consentimiento Derecho a presentar una reclamación ante una autoridad de control; Si la comunicación de datos personales es obligatoria y las posibles consecuencias de no facilitar los datos

Categorías de datos que se van a tratar El deber de informar/principio de transparencia en el Reglamento Existencia de decisiones automatizadas, incluida la elaboración de perfiles, la lógica aplicada y las consecuencias previstas Si los datos no se recaban del interesado deberá además informársele de: Categorías de datos que se van a tratar Fuente de la que proceden los datos personales y, en su caso, si proceden de “fuentes de acceso público”

El deber de informar/principio de transparencia en el Reglamento Excepciones al deber de información En general, cuando el interesado ya disponga de la información Si los datos no proceden del interesado Aclaración del esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección Obligación de secreto legal o profesional Exigencia de claridad, concisión y fácil acceso (criterios AEPD: información por capas y por tablas)

Derecho de acceso Alcance Confirmación de la existencia de tratamiento Acceso a los datos y a la información vinculada a los mismos Fines Categorías de datos Categorías (al menos) de destinatarios Plazo de conservación o criterios de fijación Información de derechos de rectificación y supresión Posibilidad de reclamación a la autoridad de control Información disponible sobre el origen de los datos Existencia de decisiones automatizadas o perfilado Garantías adecuadas implantadas en caso de transferencia Modo de acceso: copia de los datos (y la información asociada) Ampliación respecto del concepto tradicional de acceso, similar al de la LAP Gratuidad de la primera copia y canon orientado a costes en las ulteriores Uso de medios electrónicos si el derecho se ejercitó por ellos Restricción: perjuicio de derechos de terceros Aclaraciones (considerando 63) Posibilidad de satisfacer el acceso mediante acceso remoto seguro Posibilidad de que el responsable pueda pedir aclaración al interesado

Derecho a la supresión “olvido” Revocación del consentimiento “El interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico” Configuración tradicional del derecho de cancelación “Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo” “Los datos personales hayan sido tratados ilícitamente” “Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento” Derecho de oposición “El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2” Inversión de la carga de acreditación del “interés legítimo imperioso” (art.21) Datos de menores de edad “los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1”

Derecho a la supresión “olvido” Supresión de enlaces Cuando el responsable haya hecho públicos los datos y proceda la supresión Obligación de informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos Límites: tecnología disponible y coste de su aplicación Excepciones Ejercicio de las libertades de expresión e información Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable Razones de interés público en el ámbito de la salud pública Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento Formulación, ejercicio o defensa de reclamaciones

Otros derechos DERECHO DE RECTIFICACIÓN Vinculación directa con el carácter inexacto o incompleto de los datos DERECHO DE OPOSICIÓN General Basado en motivos relacionados con la situación personal del afectado Inversión de la prueba: será el responsable el que deberá justificar “motivos imperiosos para el tratamiento” que prevalezcan sobre los derechos de los afectados Opt-out en marketing directo Incluye también la oposición a la elaboración de perfiles Sin necesidad de especificar ningún motivo concreto Obligación de especificación concreta y separada del derecho en la primera comunicación comercial que se le dirija Posibilidad de ejercicio en todo caso a través de medios automatizados Opt out en caso de tratamiento con fines de investigación y estadísticos Excepción: tratamiento por razones de interés público

Otros derechos DECISIONES AUTOMATIZADAS Referencia expresa a la elaboración de perfiles Derecho a no ser objeto de una decisión que “produzca efectos” sobre el afectado o “le afecte significativamente de modo similar” Excepciones Vinculación a contrato Autorización por el derecho Nacional o de la UE Consentimiento explícito Salvo en caso de habilitación legal, el interesado tiene derecho a obtener intervención humana en la decisión y que el interesado pueda dar su opinión e impugnar la decisión Salvo que exista consentimiento o interés público, no podrá implicar datos sensibles Obligación de comunicación de la rectificación, supresión o limitación del tratamiento a los cesionarios

Limitación de tratamiento Casos en que existe derecho a solicitar la limitación Mientras se verifica de la exactitud de los datos en casos de impugnación por el interesado Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales Cuando el interesado necesite que el responsable conserve los datos para la formulación, el ejercicio o la defensa de reclamaciones Mientras se verifican circunstancias en derecho de oposición

LIMITACIÓN DEL TRATAMIENTO Concepto: “marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro”. Naturaleza: diferencias con el bloqueo de los datos Derecho del afectado vs. obligación legal del responsable Supuestos Equivalentes a la “cancelación cautelar” “El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos” “El interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado” Por voluntad del afectado “El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso” “El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones”

Derecho a la portabilidad Derecho del interesado a Recibir los datos personales que le incumban, Que haya facilitado a un responsable del tratamiento, En un formato estructurado y de uso habitual y de lectura mecánica Y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del tratamiento al que se hubieran facilitado los datos Requisitos para que pueda ejercitarse (acumulativos): El tratamiento esté basado en el consentimiento o en un contrato El tratamiento se efectúe por medios automatizados

Derecho a la portabilidad Modo de ejercicio Podrá implicar la transmisión directa de responsable a responsable a instancia del interesado “cuando sea técnicamente posible” Limitaciones Exceptuado cuando el tratamiento se funde en el cumplimiento de una misión de interés público o inherente al ejercicio del poder público GT 29 Aplicación a datos facilitados directamente o resultado del funcionamiento, pero no a los datos inducidos

Responsable-encargado Obligación general de diligencia en selección de encargado Regulación más detallada que en Directiva y asimilada a la española En el contenido del instrumento que exterioriza la relación jurídica En las obligaciones del encargado En el régimen de posible subcontratación Algunas peculiaridades: Previsión de que el responsable “realice auditorías y contribuya a ellas, incluidas las inspecciones dirigidas por el responsable o por otro auditor autorizado por dicho responsable” Fin de la prestación implica borrado o devolución de datos, sin incluir transferencia a otro encargado Posible vinculación al derecho a la portabilidad Obligación de informar al responsable “si, en su opinión, una instrucción infringe el presente Reglamento o las disposiciones nacionales o de la Unión en materia de protección de datos” Posibilidad de “contratos modelo”

RESPONSABILIDAD PROACTIVA El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento. Tales medidas se revisarán y actualizarán cuando sea necesario

Responsabilidad activa Tipos de medidas Mantener “Registro de actividades de tratamiento” Medidas de Protección de Datos desde el Diseño Medidas de Protección de Datos por Defecto Aplicar medidas de seguridad adecuadas Llevar a cabo Evaluaciones de Impacto Autorización previa o consultas previas con APD Designación Delegado Protección de Datos (DPD) Notificación de Quiebras de Seguridad Códigos de conducta y esquemas de certificación

Registro de actividades de tratamiento El RGPD suprime la obligación de notificar los tratamientos al registro general de protección de datos En su lugar, el RGPD impone al responsable y al encargado la obligación de mantener un registro de actividades de tratamiento Contenido (responsables): El responsable, su representante y el DPD, en su caso Finalidad para la que se recogen y tratan los datos Descripción interesados, datos, destinatarios y transferencias internacionales Plazo conservación, cuando sea posible Descripción general medidas seguridad, cuando sea posible

Registro de actividades de tratamiento Contenido (encargados): Datos contacto encargado y de cada responsable por cuenta del cuál actúe. Su representante y el DPD, en su caso Categorías de tratamientos efectuados por cada responsable Transferencias internacionales de datos, en su caso Descripción general medidas seguridad, cuando sea posible El Registro constará por escrito, inclusive en formato electrónico A disposición de la Agencia

PRIVACIDAD desde el DISEÑO Protección de Datos desde el diseño Medidas técnicas y organizativas adecuadas (p.ej. seudonimización, minimización) para aplicar principios de PD de forma eficaz y proteger los derechos En el momento de determinar los medios para el tratamiento y en el momento del tratamiento (integrar necesarias garantías) Teniendo en cuenta Naturaleza, ámbito, contexto y fines del tratamiento Riesgos de diversa probabilidad y gravedad (no sólo alto riesgo) Estado de la técnica y coste

PRIVACIDAD por DEFECTO Protección de Datos por defecto Medidas técnicas y organizativas apropiadas Tratamiento por defecto sólo de datos personales necesarios para cada fin específico Cantidad de datos recopilados Extensión del tratamiento Periodo de almacenamiento Accesibilidad En particular, evitar la accesibilidad a un número indeterminado sin intervención de alguien

Análisis de riesgos Necesidad de llevar a cabo un análisis de riegos para los derechos y libertades de los ciudadanos de todos los tratamientos de datos desarrollados por el responsable Necesario para determinar las medidas técnicas y organizativas que habrán de imponerse sobre el tratamiento FACILITA GUÍA DE ANÁLISIS DE RIESGOS Actualmente en el ámbito público existen metodologías y herramientas de análisis de riesgos (MAGERIT, PILAR) para determinar las medidas de seguridad de la información

Análisis de riesgos SUPUESTOS DE RIESGO (C 75) Posibles situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados Posible privación de derechos y libertades o del control sobre los datos Tratamiento de categorías especiales de datos (genéticos, salud, visa sexual,…) Evaluación de aspectos personales de los afectados para creación de perfiles Afectados en situación de especial vulnerabilidad (menores) Tratamiento gran cantidad de datos personales que afecten a un gran número de interesados

Medidas de seguridad Procederán del resultado del análisis de riesgos Responsables y encargados deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta Estado de la técnica y costes de aplicación Naturaleza, alcance, contexto y fines del tratamiento Riesgos para los derechos y libertades de las personas El Reglamento no establece listado estructurado de medidas, aunque establece algunas prevenciones, como la seudonimización o el cifrado La adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar cumplimiento

Evaluaciones de impacto Cuando el tratamiento por su naturaleza, alcance, contexto o fines entraña un alto riesgo para los derechos y libertades de las personas físicas. No es un análisis de riesgos, sino una evaluación más detallada y pormenorizada derivada del resultado del análisis previo: Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado e implique la adopción de decisiones Tratamiento a gran escala de las categorías especiales de datos Observación sistemática a gran escala de una zona de acceso público Además las autoridades de protección de datos publicarán listas de tratamientos que la requieran y de los que no la requieran GUÍA DE EVALUACIÓN DE IMPACTO No será necesario realizar la EIPD cuando el tratamiento se base en una Ley que la incorpore como parte de la evaluación general de impacto Si no es posible la adopción de medidas para mitigar el riesgo deberá recabarse la opinión de la autoridad de protección de datos

CONSULTA APD Consulta a APD cuando una EIPD muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo “y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación” APD podrá  Asesorar por escrito al responsable y, en su caso, al encargado Utilizar cualquiera de sus poderes, incluido prohibir el tratamiento Obligación de consulta en elaboración de toda propuesta de medida legislativa o de una medida reglamentaria que la aplique El derecho nacional podrá establecer consulta y petición de autorización en tratamientos derivados del ejercicio de una misión realizada en interés público

Delegado de protección de datos ¿Qué es un Delegado de Protección de Datos? Directiva 95/46 Conocimiento en Derecho y experiencia práctica en protección de datos Independiente, con recursos y que no exista conflicto de intereses

Delegado de protección de datos ¿Qué organizaciones están obligadas a designar un DPD? El RGPD requiere la designación de un DPD en tres casos específicos: Cuando el tratamiento se realice por una autoridad u organismo público (independientemente de los datos que se estén procesando); Cuando las actividades principales del responsable del tratamiento o del encargado consisten en operaciones de tratamiento que exigen un control periódico y sistemático de los datos a gran escala; Cuando las actividades principales del responsable del tratamiento o del encargado consisten en tratar a gran escala categorías especiales de datos o datos personales relativos a condenas y delitos penales.

Delegado de protección de datos PLOPD INCLUYE SUPUESTOS QUE RESPONDEN A LOS REQUISITOS RGPD: Colegios profesionales y sus consejos generales Centros docentes Centros sanitarios Prestadores de servicios de información que elaboren perfiles de usuarios a gran escala Aseguradoras y reaseguradoras Responsables de ficheros comunes de solvencia patrimonial Operadores del juego

Delegado de protección de datos ¿Es posible nombrar un DPD externo? El DPD puede ser un miembro del personal del responsable del tratamiento o del encargado del tratamiento (DPD interno) o «cumplir las tareas sobre la base de un contrato de servicios». Puede ejercerse sobre la base de un contrato de servicios celebrado con un individuo u organización Equipo de personas bajo la responsabilidad del contrato designado Cada miembro del equipo debe cumplir los requisitos del RGPD Puede nombrarse un solo DPD para varias entidades

Delegado de protección de datos Funciones Informar y asesorar a responsable y encargado, documentando esa actividad Supervisar la puesta en práctica de las políticas de protección de datos, incluidas la formación y la auditoría Supervisar la aplicación del Reglamento en lo relativo a PbD, PbDef y derechos de los interesados Asegurar la existencia y mantenimiento de documentación obligatoria Supervisar gestión de quiebras de seguridad

Delegado de protección de datos Supervisar la realización de Evaluaciones de Impacto y la solicitud de autorizaciones o consultas que se requieran Supervisar respuestas a requerimientos de APD Cooperar con la APD en el marco de sus tareas Actuar como punto de contacto para la APD y los interesados Comunicación de su identidad al público Derecho de acceso por los interesados Información directa a la dirección

Delegado de protección de datos ¿Cuáles son las cualidades profesionales que debería tener el DPD? El RGPD exige que el DPD «se designe sobre las base de cualidades profesionales y, en particular, conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos y sobre la capacidad para cumplir las tareas a que se refiere el artículo 39»

Delegado de protección de datos Habilidades y experiencia : Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluida una comprensión en profundidad del RGPD Comprensión de las operaciones de tratamiento realizadas Comprensión de las tecnologías de la información y la seguridad de los datos Conocimiento del sector empresarial y de la organización Capacidad para promover una cultura de protección de datos No se prevé cómo acreditar cualidades profesionales Titulación Acreditación Esquemas de certificación de ENAC

Delegado de protección de datos ¿Qué recursos que se deben proporcionar al DPD? Dependiendo de la naturaleza de las operaciones de tratamiento y las actividades y tamaño de la organización: Apoyo activo de la función del DPD por parte de la alta dirección Disponibilidad de tiempo para cumplir sus obligaciones Apoyo adecuado en términos de recursos humanos y materiales Comunicación oficial de la designación del DPD a la AEPD y a todo el personal Acceso a otros servicios dentro de la organización para que los DPD puedan recibir apoyo esencial, aportaciones o información de esos otros servicios Acceso a los tratamientos de datos Formación continua

Delegado de protección de datos ¿Cuáles son las salvaguardias que permiten al DPD realizar sus tareas de manera independiente? Ninguna instrucción de los responsables o encargados sobre el ejercicio de las tareas del DPD Ningún despido o sanción por parte del encargado por el desempeño de sus tareas, salvo dolo o negligencia grave No hay conflicto de intereses con otras posibles tareas y deberes

Delegado de protección de datos ¿Cuáles son las «otras tareas y obligaciones» de un DPD que pueden dar lugar a un conflicto de intereses? El DPD no puede ocupar un puesto dentro de la organización que lo conduzca a determinar los propósitos y los medios del tratamiento de los datos personales. Debido a la estructura organizativa específica en cada organización, esto debe ser considerado caso por caso. Como regla general, las posiciones conflictivas pueden incluir posiciones de alta dirección, jefe de Recursos Humanos o jefe de departamentos de TI, pero también otros roles más bajos en la estructura organizativa si tales posiciones o roles conducen a la determinación de propósitos y medios de tratamiento

Delegado de protección de datos ¿El DPD es personalmente responsable del incumplimiento del RGPD? No, los DPD no son personalmente responsables por el incumplimiento del RGPD. El RGPD deja claro que es el responsable del tratamiento o del encargado quien debe garantizar y demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. El cumplimiento de la protección de datos es responsabilidad del responsable o del encargado

BRECHAS DE SEGURIDAD El RGPD impone la obligación de notificar las violaciones de seguridad A las autoridades de protección de datos en un máximo de 72 horas desde que se tenga constancia de ellas, a menos que sea improbable que constituyan un riesgo para los derechos y libertades de las personas físicas Deberán documentarse la violación, los hechos producidos, sus efectos y las medidas correctoras Registro de incidentes de seguridad Deberá facilitarse gradualmente cualquier información adicional Al interesado Si es probable que se genere una situación de alto riesgo para sus derechos y libertades Por iniciativa propia o por exigencia de la autoridad de protección de datos PRÓXIMA GUÍA SOBRE BRECHAS DE SEGURIDAD

CÓDIGOS DE CONDUCTA Y CERTIFICACIONES Códigos  “facilitar la aplicación efectiva, del RGPD teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las PYMES” Certificaciones  “permitir a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes” Demostrar el cumplimiento de lo dispuesto en el RGPD

Transferencias Internaciones de Datos Se mantiene aproximación europea clásica  TID sólo posibles si: Se cumplen disposiciones de RGPD y Hay nivel de protección adecuado, o Se ofrecen garantías suficientes, o Concurre una causa excepcional Todas estas diapos sobre TI están incluidas a petición de la Seguridad Social, porque a ellos les interesaban mucho. No sé bien por qué. Pero para otras AAPP pueden obviarse. Como mucho, yo suelo señalar que el modelo es el mismo que tiene ahora la Directiva en el sentido de que hay tres opciones para exportar datos: O van a país que se declara adecuado, o si no hay que ofrecer garantías suficientes para los datos involucrados en una transferencia o grupo de transferencias. Si no se da ninguna de esas circunstnacias, se pueden aún exportar los datos, pero si hay una excepción. Luego suelo pasar al caso de las garantías suficientes (dos transparencias más adelante), para señalar que el RGPD tiene dos tipos de instrumentos de garantía que son exclusivos del ámbito público. Uno son los instrumentos jurídicamente vinculantes entre entidades administrativas. En este caso, las APD no tienen que autorizar la transferencia. El ejemplo sería algún tipo de contrato o acuerdo administrativo vinculante entre dos organismos públicos con capacidad para comprometerse legalmente. Otros serían los instrumentos que no tienen vinculación legal. El mejor ejemplo serían los MoU (Memorando de Entendimiento). No son jurídicamente vinculantes. En este caso, el RGPD exige que medie una autorización previa de las APD. El resto de instrumentos de garantía también se pueden usar por las AAPP. Por ejemplo, si contratan servicios en nube con una entidad privada seguramente habrá transferencia internacional de datos. Pero estos dos son los que son específicos del sector público.

Transferencias internacionales de datos Con autorización previa de APD  Cláusulas “ad hoc” autorizadas por APD nacional Disposiciones en acuerdos administrativos entre autoridades u organismos públicos (MoU) Todos estos instrumentos han de contener derechos exigibles y acciones legales efectivas para los interesados Decisiones de APD tomadas sobre Directiva 95/46 siguen siendo válidas hasta que las APD las modifiquen, sustituyan o deroguen

Modelo de supervisión Acciones correctivas  Sancionar con una advertencia cuando las operaciones de tratamiento previstas puedan infringir RGPD Sancionar con apercibimiento cuando las operaciones de tratamiento hayan infringido RGPD Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos Ordenar que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, de una determinada manera y dentro de un plazo especificado Ordenar al responsable que comunique al interesado las violaciones de la seguridad de los datos personales Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición

Modelo de supervisión Multas deberán ser efectivas, proporcionadas y disuasorias Cantidad deberá modularse atendiendo a circunstancias del caso Aplicables a responsables y encargados Clasificación de infracciones y sanciones Multa hasta 10 M € o para empresas, optándose por la de mayor cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial Obligaciones de responsable o encargado Obligación de organismos de certificación Obligaciones de APD en relación con organismos de supervisión de códigos de conducta

Modelo de supervisión Multa hasta 20 M € o hasta el 4% Principios básicos Derechos Transferencias internacionales.. Incumplimiento de resoluciones de APD

Modelo de supervisión Criterios de ponderación (sobre imposición y cuantía de multa)  Naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; Intencionalidad o negligencia Medida para paliar los daños y perjuicios sufridos por los interesados; Grado de responsabilidad en función de medidas de “accountability” Infracciones anteriores Grado de cooperación con la APD para poner remedio a la infracción y mitigar sus posibles efectos adversos Categorías de los datos afectados por la infracción Forma en que la APD tuvo conocimiento de la infracción Existencia de medidas correctivas previas y cumplimiento de las mismas Adhesión a códigos de conducta o a mecanismos de certificación Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción

Medidas de adaptación HOJA DE RUTA

Medidas de adaptación Designar un Delegado de Protección de Datos El RGPD hace obligatoria la figura del DPD en las autoridades y organismos públicos Podrá designarse un único DPD para varias autoridades u organismos dependiendo de tamaño y características

Medidas de adaptación Identificación precisa de los tratamientos que se realizan, sus finalidades y la base jurídica Obligación derivada de Cumplimiento de principio de legalidad Necesidad de informar a interesados Inclusión en Registro de Actividades de Tratamiento Caso de datos objeto de especial protección (datos sensibles)

Medidas de adaptación Implantar Registro de Actividades de Tratamiento Desaparecen  Obligación de notificar a la autoridad de protección de datos los nuevos ficheros (tratamientos) Obligación de iniciar los tratamientos mediante una disposición general RGPD establece obligación de Registro de Actividades de Tratamiento y prevé un contenido mínimo Primer paso indispensable en aplicación de medidas de cumplimiento Registro podrá organizarse sobre la base de las informaciones ya proporcionadas en las notificaciones de los ficheros existentes

Medidas de adaptación Llevar a cabo un análisis del riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen o de los que se inicien en el futuro Obligaciones del RGPD para responsables y encargados se aplicarán en función del riesgo que los tratamientos conlleven para los derechos y libertades de los ciudadanos La implantación de esas medidas sólo puede hacerse si se basa en un análisis de riesgo previo FACILITA, GUÍA DE ANÁLISIS DE RIESGOS

Medidas de adaptación Revisar las medidas de seguridad de la información que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo El actual Reglamento de la LOPD prevé un listado cerrado de medidas de seguridad según tipos de datos tratados Según RGPD medidas de seguridad dependen de riesgos de tratamientos para derechos y libertades de los interesados, entre otros factores Deberá modificarse el Esquema Nacional de Seguridad, que ahora se remite en este aspecto al Reglamento LOPD, para incluir medidas adaptadas al RGPD

Medidas de adaptación Realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) en tratamientos que supongan un alto riesgo para los derechos y libertades de los interesados El RGPD hace obligatoria la EIPD para tratamientos de alto riesgo El RGPD establece tres supuestos de alto riesgo y obliga a que las autoridades nacionales de supervisión adopten listas de categorías de tratamientos de alto riesgo EIPD no necesaria cuando tratamiento se base en ley que ya la incorpore como parte de evaluación de impacto general GUÍA DE EVALUACIÓN DE IMPACTO En esta diapo suelo contar como ejemplos los tres supuestos del RGPD (decisiones automatizadas, incluido perfilado, datos sensibles y videovigilancia, todo ello a gran escala). También menciono alguno de los supuestos que podrían incluirse en la lista que tenemos que hacer en las APD y que están en lo que nos propuso Luis. Por ejemplo, tratamientos de datos de menores. O de víctimas de violencia de género. No son datos sensibles en sentido técnico. Pero sí que tienen características que los hacen merecedores de una protección diferenciada. Consulta APD cuando se concluya que hay un alto riesgo y no puede mitigarse con medios razonables en cuanto a tecnología y costes de aplicación. 3 What does ‘large scale’ mean?   The GDPR does not define what constitutes large-scale processing. The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:  the number of data subjects concerned - either as a specific number or as a proportion of the relevant population  the volume of data and/or the range of different data items being processed  the duration, or permanence, of the data processing activity  the geographical extent of the processing activity Examples of large scale processing include:  processing of patient data in the regular course of business by a hospital  processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)  processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities  processing of customer data in the regular course of business by an insurance company or a bank  processing of personal data for behavioural advertising by a search engine  processing of data (content, traffic, location) by telephone or internet service providers Examples that do not constitute large-scale processing include:  processing of patient data by an individual physician  processing of personal data relating to criminal convictions and offences by an individual

Medidas de adaptación Establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas Definición amplia de «violación de seguridad» Necesidad de evaluar el riesgo para los derechos y libertades de los afectados Notificación a las autoridades de protección de datos y, si fuera necesario, a los interesados Contenido mínimo establecido en RGPD Registro de incidentes de seguridad

Medidas de adaptación Adaptar a las exigencias del RGPD la información que se ofrece a los interesados cuando se recogen sus datos El RGPD obliga a proporcionar más información que la que requiere actualmente la LOPD Exige que se ofrezca de forma concisa, transparente, inteligible y de fácil acceso Revisión de formularios e impresos para solicitar datos de los ciudadanos en situaciones como solicitudes de prestaciones sociales, convocatorias de subvenciones, inscripción para procesos selectivos… Opción de información por capas

Medidas de adaptación Establecer mecanismos que faciliten a los afectados el ejercicio de sus derechos según el RGPD Esto incluye medios electrónicos El RGPD introduce los nuevos derechos a la portabilidad de los datos y a la limitación del tratamiento, que requieren medios específicos para su ejercicio y tramitación Cuando los medios para el ejercicio de derechos sean electrónicos (a través de correos electrónicos, páginas web, etc.) la verificación de la identidad del afectado es un elemento clave Procedimientos internos para atender al ejercicio de derechos en plazos previstos por RGPD

Medidas de adaptación Adecuar los futuros contratos con encargados de tratamiento a las previsiones del RGPD  Régimen transitorio en PLOPD para contratos vigentes hasta vencimiento, cuatro años o renovación Diligencia debida en la elección del encargado de tratamiento Relación entre responsables y encargados deberá formalizarse mediante un contrato o un acto jurídico que vincule al encargado En el ámbito público, frecuente que el instrumento sea una norma que regule el papel de un órgano administrativo como encargado En los dos casos el instrumento de relación debe incluir el contenido que prevé el RGPD, que es más amplio que el que prevé la normativa española

Recursos y herramientas Disponible en la web de la AEPD (WWW.AGPD.ES) LEGISLACIÓN GUÍAS Guía del RGPD para responsables del tratamiento Guía (directrices) para el cumplimiento del deber de informar en el RGPD Directrices (guía) para la elaboración de contratos entre responsables y encargados de tratamiento en el RGPD Guías: análisis de riesgos y evaluación de impacto Guía brechas de seguridad (Pte.) ORIENTACIONES DIRECTRICES HERRAMIENTAS FACILITA OBTENCIÓN COPIA FICHEROS INSCRITOS EN EL REGISTRO DE LA AEPD HOJA DE RUTA

FACILITA_RGPD HERRAMIENTA DE AYUDA A PYMES Y PROFESIONALES PARA LA ADECUACIÓN AL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

FACILITA_RGPD PÚBLICO OBJETIVO: PYMES/MICROPYMES/PROFESIONALES TRATAMIENTOS DE DATOS HABITUALES: CLIENTES/PROVEEDORES NÓMINAS, PERSONAL, RRHH VIDEOVIGILANCIA BAJO RIESGO PARA LOS DERECHOS Y LIBERTADES DE LAS PERSONAS ÚTIL PARA CUALQUIER TRATAMIENTO DE BAJO RIESGO

AYUDA A LOS RESPONSABLES EN LA ELABORACIÓN DE: FACILITA_RGPD AYUDA A LOS RESPONSABLES EN LA ELABORACIÓN DE: EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO LAS CLÁUSULAS INFORMATIVAS PARA INTERESADOS CLÁUSULAS CONTRACTUALES PARA ENCARGADOS DEL TRATAMIENTO MEDIDAS DE SEGURIDAD ¿EN QUÉ PUEDE AYUDAR ESTA HERRAMIENTA?

FACILITA_RGPD SUPONE LA PUESTA EN PRÁCTICA DE: LA GUÍA PARA RESPONSABLES DEL TRATAMIENTO LA GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMAR LAS DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS DE ENCARGADOS DEL TRATAMIENTO Disponibles en la espacio dedicado al RGPD web de la AEPD (www.agpd.es)

FACILITA_RGPD EJEMPLO PRÁCTICO: PEQUEÑA EMPRESA/PROFESIONAL CON UN NÚMERO REDUCIDO DE TRABAJADORES QUE TRATAN DATOS DE NÓMINAS, RRHH, TIENEN MANTENIMIENTO INFORMÁTICO CONTRATADO, TRATAN DATOS DE CLIENTES Y PROVEEDORES Y DISPONEN DE UN SISTEMA DE VIDEOVIGILANCIA CON FINALIDAD DE SEGURIDAD

FACILITA_RGPD FASES: PRIMERA: NO APTA PARA TRATAMIENOS DE ALTO RIESGO SEGUNDA: ADQUIERE INFORMACIÓN DEL RESPONSABLE TERCERA: ADQUIERE INFORMACIÓN DE LOS TRATAMIENTOS CUARTA: SE FACILITAN DOCUMENTOS EDITABLES

FACILITA_RGPD NO OLVIDAR: INCLUIR LAS CLÁUSULAS INFORMATIVAS (PAPEL O EN PÁGINA WEB) IMPLANTAR LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS REVISAR LOS CONTRATOS DE ENCARGADO DEL TRATAMIENTO E INCLUIR LAS CLÁUSULAS CUSTODIAR Y ACTUALIZAR LA DOCUMENTACIÓN

FACILITA_RGPD IMPORTANTE: EL USO DE FACILITA_RGPD NO PUEDE ENTENDERSE COMO EL CUMPLIMIENTO DEL RGPD ES UNA AYUDA LA AEPD NO ALMACENA NINGUNA INFORMACIÓN QUE SE FACILITE, LOS DATOS SE ELIMINAN FINALIZADA LA SESIÓN